KRIMINALITET//KOMMENTAR – Den danske tvangsdigitalisering er svaret på bankrøvernes våde drøm, mens et netbankrøveri er et mareridt for borgerne, skriver journalist Dorte Toft. Folk manipuleres med historier, der er for gode til at være sande, og skræmmes med historier om indbrud og børneporno. Bankerne selv klarer typisk frisag, men Finans Danmark har netop bebudet en større indsats mod netsvindlerne. Dorte Toft, der har haft tilknytning til it-branchen siden 1966, er skeptisk.
Dette indlæg er udtryk for skribentens holdning. Alle holdninger, som kan udtrykkes inden for straffelovens og presseetikkens rammer, er velkomne, og du kan også sende os din mening her.
Tænk at kunne røve en halv million fra banken helt uden risiko. Tænk bare at kunne fortsætte med at stjæle, mens banker deklarerer sig ansvarsfri, og politiet opgiver.
Kundens netbank lænset? Mod folks dumhed og naivitet kæmper selv MitID forgæves – tanten overførte jo selv pengene! Samme holdning bakkes vist op af politikerne, der kører videre med en tvangsdigitalisering, som er gefundenes Fressen for svindlere.
Bankkundernes tab i første halvår 2023 var 56 procent højere end i første halvår 2022
Alene i første halvår 2023 registrerede bankerne cirka 5.200 forsøg på netbanksvindel, hvilket var en stigning på hele 160 procent i forhold til antal forsøg i første halvår 2022.
Tallet på de 5.200 gælder “blot” de forsøg, som kunderne orienterer bank og måske politi om, ikke mængderne af forsøg, folk har afvist ved ikke at klikke på links i den modtagne mail eller SMS og ved at ignorere telefonopkaldet eller afslutte hurtigt. Antallet af forsøg løber nok op i hundredtusinder i samme periode.
Bankerne pryder sig imidlertid med at være bedre til at forhindre forsøg i at lykkes, men bankkundernes tab i første halvår var ikke desto mindre 56 procent højere end i første halvår 2022. Tabstallet er 54,5 millioner kroner i første halvår 2023 mod 35 millioner i samme periode året før.
Rekorder i svindel
Halvår efter halvår udsender Finans Danmark – pengeinstitutternes organisation – nyheder om netbanksvindel, og ofte med beskeden, at antal svindelforsøg slår rekorder, men tilføjet en beroligende besked om, at bankerne stopper flere forsøg.
Den 4. december kom endnu en nyhed, der skulle berolige, med overskriften “Ny Svindel Task Force tager kampen op med de kriminelle”. I den udtalte Ulrik Nødgaard, administrerende direktør i Finans Danmark, at “Vi kan som samfund ikke leve med, at denne type kriminalitet er så stor”.
Udviklingen repræsenterer imidlertid logik for burhøns for enhver med elementær viden om it-systemer, men ignoreres åbenbart.
For nylig var svindlere efter en af mine gode venner – en mand omkring de 60. Han anede uråd, var bange for at være faldet i og ringede mig op. Da vidste han ikke, om kontoen allerede var tømt, men han var forinden blevet urolig og havde spærret sit Visa/Dankort, skiftet MitID og fået banken til at lukke kontoen
Det har altid være langt lettere at udnytte folks autoritetstro, tillid og travlhed end at lave indbrud i systemerne via et teknisk hack. Manipulér blot mennesker med adgang til systemerne til at åbne “døren” for røverne og måske tilmed selv sende pengene. I første halvår 2023 udgjorde påvirkning af netbankkunderne selv – såkaldt social engineering – således ca. 4.400 forsøg ud af de i alt ca. 5.200 registrerede forsøg.
For nylig var svindlere efter en af mine gode venner – en mand omkring de 60. Han anede uråd, var bange for at være faldet i og ringede mig op. Da vidste han ikke, om kontoen allerede var tømt, men han var forinden blevet urolig og havde spærret sit Visa/Dankort, skiftet MitID og fået banken til at lukke kontoen.
Og han var heldig, om end det tog over en uge at få alt genoprettet.
Falsk mail fra Sygeforsikringen Danmark
Ældre er de mest udsatte, men også unge mennesker lader sig snyde. For nogle måneder siden blev jeg selv bekendt med et yngre offer, der røg i fælden.
Der blev trukket 10.000 kroner fra personens konto. Selvrisikoen var på 8.000, så banken slap med at dække de 2.000.
Her var det en falsk mail fra Sygeforsikringen Danmark, der blev brugt. I mailen fortælles, at personen, der er kronisk syg, kan få overført sit tilgodehavende fra Danmark straks i stedet for at afvente den normale periodiske afregning. Der skulle blot klikkes og MitID-godkendes.
I travlheden så det yngre menneske ikke, at beløbet, før der blev swipet på MitID, var ændret fra danske kroner til euro og dermed blev omkring 7,5 gange større. Overset var også, at det jo var et beløb, der blev trukket fra hendes konto – man skal jo ikke godkende, når det er penge, der går ind på kontoen.
Da jeg i november holdt et indlæg på Samsø Aftenskole om “Historier, der er for gode – eller skræmmende – til at være sande”, havde stort set alle i salen været udsat for et eller flere forsøg på netbanksvindel. Alle forsøg var af typen social engineering – manipulation ud fra påstande og her mest om manglende betalinger.
Frygten for at blive koblet til netop børneporno, hvor løgnagtig koblingen end er, kan være større end vreden over at være blevet frastjålet penge
Det hænder, at den “sociale ingeniørkunst” ikke står alene – at den er indledt med, at nettets skiderikker har fået smuglet ondartet kode, malware, ind på folks pc’er, typisk via en mail eller besøg på dårligt websted.
I et af de grovere forsøg, jeg er bekendt med via en sikkerhedsansvarlig, blev svindlen indledt med en blinkende advarsel på skærmen, da borgeren ville lukke sin pc efter at have brugt netbanken. Advarslen lød på, at der var konstateret ondartet kode i pc’en, og at personen straks skulle ringe til Microsoft – telefonnummeret var opgivet.
Da personen, en mand i fyrrerne – lad mig kalde ham Peter – nervøst ringede til Microsoft, blev der svaret på engelsk, og han blev stillet om til en sikkerhedsekspert, Eric Smith. Denne var venlig og hjælpsom, og med Peters egen bistand fik Eric Smith lov til at fjernestyre pc’en, så årsagen til advarslen kunne klarlægges.
Smith kunne snart fortælle, at den ondartede kode nok var kommet ind via et websted med børneporno. Peter protesterede. Han havde aldrig været på et sådant websted, men Eric Smith havde fundet pornostedets ubetalte faktura på Peters egen pc og viste ham den. Beløbet var på godt 900 euro.
“Microsofts” anbefaling
Manden troede på Peter trods fakturaen. Han gav desuden udtryk for, at svindlerne burde afsløres, og det kunne Peter hjælpe med.
Peter skulle blot overføre fakturabeløbet til den oplyste udenlandske konto, for så kunne Smith sammen med Microsofts kontakter ved politiet spore overførsel og fælde svindlerne. Peter ville dagen efter få beløbet tilbageført.
Alt dette havde selvfølgelig intet med Microsoft at gøre. Navnet er blot et af de mest misbrugte.
Skiftet fra NemID til MitID blev et uomgængeligt bevis for, at forvirringen kan og vil blive udnyttet
Svindlen med påstand om børneporno misbruges jævnligt, og jeg gad vide, hvor mange mænd der ikke orienterede deres bank og politiet om, at de blev snydt. Frygten for at blive koblet til netop børneporno, hvor løgnagtig koblingen end er, kan være større end vreden over at være blevet frastjålet penge.
Politiet er ikke den store hjælper i sådanne sager, for svindlerne er typisk bedre til at lege kat og mus. Men hvad Peter ikke fik tænkt på, er, at giver man tillidsfuldt andre ret til at fjernstyre pc’en, kan de lægge ting ind på computeren – såsom en falsk faktura fra et børneporno-sted.
Slut med tillid og autoritetstro?
Det er kendte navne, der misbruges. Også Nets, PostNord, Nordea, Danske Bank, MobilePay, Coop, Skat, Jyske Bank, Matas, Tivoli, Rigspolitiet, One.com ses misbrugt, ligesom mange andre.
Hvordan vil Finans Danmarks kommende svindeludvalg standse det? Vil de opfordre folk til helt at droppe autoritetstro og tillid til kendte firmaer og myndigheder? Opdrage dem til aldrig at gøre noget, hvis de har travlt? Fortælle dem, at de skal ringe til banken, hvor de ender i “du er nu nummer 17 i køen” eller afvises med “du ringer uden for vores åbningstid”.
Ingen af disse ting holder. I forvejen er både det offentlige og bankerne med rette nervøse for, at mistilliden til digitaliseringen vil spænde ben – også for de videre planer. Digitaliseringen ønskes løbende øget for at spare yderligere eller overvåge borgere yderligere, hvilket politikerne synes at have en umættelig appetit på.
Jo mere folks tillærte vaner brydes, jo mere der gør ting mere besværlige og gør folk mere forvirrede, jo bedre for svindlerne
Sandsynligvis vil der blive foreslået indført yderligere sikkerhedsforanstaltninger, som da man skiftede fra NemID til MitID.
Men lægges flere sikkerhedslag oveni, vil svindlerne også fryde sig, for jo mere folks tillærte vaner brydes, jo mere der gør ting mere besværlige og gør folk mere forvirrede, jo bedre for svindlerne.
Dårlig forestillingsevne
Skiftet fra NemID til MitID blev et uomgængeligt bevis for, at forvirringen kan og vil blive udnyttet. De systemansvarlige havde tilmed ikke tænkt langt nok, for senere blev det nødvendigt at indføre obligatorisk scanning af QR-koden med mobilens MitID-app, hvis man betalte via pc’en.
At man heller ikke da havde tænkt langt nok, blev bevist, da en opdateret MitID-app måtte slippes i sommer, så de mange, der alene ordner pengesagen via mobilen, altså ikke i kombination med pc’en, blev beskyttet bedre mod svindel.
De ansvarlige tænker ikke langt nok, mens borgere forventes at gøre det. Men hvordan kan man få folk til at tælle til 20, inden de reagerer på “den venlige mand fra Rigspolitiet”, der ringer på vegne af banken og fortæller, at et indbrudsforsøg i personens netbank lige nu er i gang?
Den gamle traver, “klik ikke på links”, holder slet ikke i tilstrækkelig grad som forebyggelse
Det er ikke nok at have installeret appen Mit Digitale Selvforsvar på mobilen, selv om det er en god app fra Forbrugerrådet og Trygfonden. Via den kan man tjekke, hvad der er i omløb af svindlerier, men problemet er, at nytten afhænger af indberetninger, der først skal tjekkes, så øjebliksaktuel er appen ikke altid.
Svært at tjekke netbankrøveri, men tab kan begrænses
Det er heller ikke alle mennesker, der kan gennemskue, når adresselinjen i browseren, den såkaldte URL, lugter. Når fx bankens navn er tilføjet et punktum og en ekstra tekst, og/eller når der afsluttes med et udenlandsk domæne, selv om den angivne afsender kun bruger “.dk” som domæne.
Heller ikke alle forstår, at opringningen, der kommer fra banken – fra bankens kendte telefonnummer – slet ikke er fra banken, men blot fremgår som sådan via et teknologisk fif, der kaldes spoofing
Den gamle traver, “klik ikke på links”, holder slet ikke i tilstrækkelig grad som forebyggelse.
Men hvad man selv kan gøre relativt let, som begrænser et eventuelt tabs størrelse, er at sætte en relativt lav grænse for, hvor store beløb man kan overføre via netbanken og via MobilePay. Hvis man ikke selv sætter en grænse, er det bankens højere grænse, der gælder.
Nogle erindrer måske, hvorledes Nordea kom i modvind, efter at en ældre kvinde, Aase Edelsparre, mistede 460.000 kroner til en svindler, der udsatte hende for netbankrøveri.
Kvinden mente, at Nordea burde have anet, der var noget helt galt, når hun overførte hele sin opsparing til en anden konto, men Nordeas grænse for såkaldte straksoverførsler var på 500.000 kroner. Den har Nordea efterfølgende sat ned til 100.000 kroner.
Jeg tror ikke på dig, lød beskeden fra en ældre kvinde til bankrådgiveren, der ringede op, og hun afbrød forbindelsen
Med MobilePay kan du overføre op til 10.000 kroner om dagen, men har du vitterlig brug for det? Kan du nøjes med en grænse på fx 3.000, så få ændret grænsen.
Det med at have kontanter nok i “madrassen” som reserve (også til, hvis MitID-systemet eller Dankort-systemet bryder ned i dagevis) gør banker og stat desværre deres for at forhindre, at man kan sikre. Kontanter lever et truet liv, fordi digitale penge gør kontrol så meget lettere og billigere for stat og bankvæsen.
Men det, der ikke tales højt om, men som banker og det offentlige frygter, er følgende: I takt med, at stadig flere mennesker bedrages via nettet eller forsøges bedraget, vokser risikoen for, at vigtige beskeder pr. mail, telefon, SMS eller anden vej, sendes forgæves. De afvises ud fra mistanke om, at det blot er endnu en form for svindel.
Jeg har allerede hørt fra bankkredse, at især ældre kunder har afvist vigtigt opkald fra banken, fordi de tror, de er udsat for et netbankrøveri.
“Jeg tror ikke på dig,” lød det fx fra en ældre kvinde til bankrådgiveren, der ringede op, og hun afbrød forbindelsen. Da bankrådgiveren straks efter igen forsøgte at nå den ældre kvinde med en vigtig besked, afbrød hun igen.
Bagslag for digitaliseringen
Øges hyppigheden af sådanne afvisninger, vil det udgøre et alvorligt bagslag for digitaliseringen – et bagslag, der ikke alene rammer banker og myndigheder, men som også kan udvikle sig til at blive et kafkask mareridt for borgerne, der ikke fik betalt et udestående, eller som fik afvist en reel advarsel.
Folk indskærpes konstant, at de selv er ansvarlige for at vide alt og betvivle alt.
Jeg … har svært ved at fatte, hvor dårligt it-sikkerhedsmæssigt og kommunikationsmæssigt tvangsdigitaliseringen er kørt
Men vil stat eller banker kunne blive ved med at tørre ansvaret af på borgerne?
Vokser en større protestbevægelse frem?
Bliver det nødvendigt for bankerne at erstatte tabet, også når borgeren selv har overført pengene? Den første sag mod en bank er ifølge Berlingske anlagt af en ældre kvinde, der mistede over 400.000 kroner.
Jeg, der har haft tilknytning til it-branchen siden 1966, og journalistikken siden 1973, har svært ved at fatte, hvor dårligt it-sikkerhedsmæssigt og kommunikationsmæssigt tvangsdigitaliseringen er kørt. Den sælges på bekvemmelighed, “øget service”, nødvendig kontrol mod hvidvask og for at sætte en stopper for sort arbejde.
Den digitale underklasse
Meget er blevet lettere, men noget også blevet langt mere besværligt, og ikke blot for dem, der er i den såkaldte digitale underklasse. Den gruppe udgøres af 20-25 procent af befolkningen, jævnfør Politikens fremragende kortlægning af problemerne i en serie om “den digitale underklasse”.
Men hvor har DR været? Den tv-station, vi alle bidrager til via skatten?
Hvad blev der af “OBS – Oplysninger til Borgerne om Samfundet”? Hvem har ansvaret for at nedlægge de korte udsendelser … OBS-udsendelsen, der blandt andet blev kendt for sloganet “Kør stærkt, det er dødsmart”, kunne nutidigt have bragt “Simsalabim, klik her, og din opsparing er psssst væk” med varierende eksempler fx lige efter TV-Avisen
DR har lavet alskens kostbare krumpspring i sin bejlen til de unge, der alligevel foretrækker streaming, mens gennemsnitsalderen for dem, der sidder foran tv-skærmen og ser programlagt tv, er omkring 65. En gennemsnitsalder, der er tæt på den perfekte, når det gælder information om netbankrøverier.
Hvad blev der af OBS – Oplysninger til Borgerne om Samfundet? Hvem har ansvaret for at nedlægge de korte udsendelser, som via enkle videoer, der ifølge DR har “oplyst, vejledt, rådgivet eller advaret om forhold, der vedkommer danskerne i alle aldre”.
OBS-udsendelsen, der blandt andet blev kendt for sloganet “Kør stærkt, det er dødsmart”, kunne nutidigt have bragt ”Simsalabim, klik her, og din opsparing er psssst væk” med varierende eksempler fx lige efter TV-Avisen den dag i ugen, hvor der typisk er flest foran skærmen.
Konsekvenser af it-stoffets lavstatus
Generelt set har medier svigtet alt for længe. De skulle have råbt gevalt mange gange, men it-stoffet har typisk så lav status hos avisledelser, at de få journalister, der er dygtige, oftest flygter over på status-områder, når chancen byder sig. Journalister og redaktører har desuden hidtil haft en tendens til at tro, man skal være gammel og dum for at falde i.
Medier, og herunder ikke mindst DR, har blot bragt sporadiske case-historier, hvor det er gået helt galt for gamle Ole og Karen. Netbanksvindlen blev nutidens version af den type artikler, der i gamle dage blev kaldt “Ugens krøbling”.
Og hvad med det offentlige selv? Den sektor, der startede det, der blev kaldt edb-alderen, så visionært med egne ekspertisecentre, men som solgte centrene motiveret af grådighed og en naiv tiltro til, at alt blev billigere og bedre gennem privatisering.
Siden har det offentlige postet milliarder i internationale it-konsulenthuse uden at kunne bevise fordelen. Og tvangsdigitaliseringsprojektet, der forudsatte opbygningen af en særlig dansk it-infrastruktur? Samarbejdspartnerne, bankerne, grinede hele vejen til banken, også efter at have solgt malkekoen til kapitalfonde og koncerner i ind- og udland.
Hvor er havkattene i hyttefadet, de superkompetente, der ikke gider konsulenthusene, der ikke har en professorpost, der ikke er direktør i it/telebranchen ej heller i banken
Men nu vil Finans Danmark med sin nye “Svindel Task Force” få mindsket netbankkriminaliteten. Ifølge pressemeddelelsen vil arbejdet stå på igennem hele 2024. Svindlernes virkemidler skal kortlægges, så banker og borgere kan rustes til at modstå svindlerne.
Politikens serie om den digitale underklasse, især researchet og skrevet af journalist Jakob Sorgenfri Kjær, bør være obligatorisk indledende pensum for alle i task forcen.
Den serie afslører mange årsager til, at det er gået så galt. Det er en dokumentation af, hvad der sker, når diverse digitaliseringsudvalg med indkaldte eksperter som udgangspunkt har troet, at “fordi jeg kan, vil alle kunne – undtagen nogle gamle nisser, og de kan så få et brev med PostNord”.
Nul rettidig omsorg
Artikelserien viser, hvordan både det offentlige og bankerne har nægtet at udvise rettidig omhu. De tvinges først til at udbedre situationen, når det er gået så galt, at det bliver umuligt at lægge låg på skandalen.
Jeg selv har min tvivl om nytten af den nye task force. Den bemandes – ret lig de forudgående involveret i digitalisering – således: “Medlemmerne af den samlede Svindel Task Force er sammensat bredt og dækker kompetencer indenfor forebyggelse, IT-sikkerhed, telekommunikation og bank.”
Hvor er de, der står på herrens mark? Hvor er de eksperter, der ved nok om menneskers typiske reaktionsmønstre på krav, besvær, løfter og trusler? Hvor er de, der ikke lever af at sælge deres tjenester på skrækscenarier? Hvor er havkattene i hyttefadet, de superkompetente, der ikke gider konsulenthusene, der ikke har en professorpost, der ikke er direktør i it-/telebranchen, ej heller i banken. De, der har “fingrene i jorden”, viden at tjekke og den nødvendige fantasi til at forestille sig, hvad de bedste kriminelle kan udtænke? De, der intet ansigt har at tabe ved at spole udviklingen tilbage for at gøre fundamentet sikrere?
Digitaliseringen, som den er gennemført, har åbnet en flanke for angreb, langt alvorligere for samfundet end det, der nu rammer landets borgere
Jeg vil tro, en havkat eller to til task forcen kan findes blandt dem, der i årevis forgæves har efterlyst en it-havarikommission, så der kan læres af, hvad der gik galt. De har råbt forgæves, fordi interessen på tinge og i embedsværk stadig kun rækker til kulegravning af ulykker med tog og fly, og som tilsyneladende helst vil undgå at få dissekeret it-skandalerne. Lobbyister for tech- og tech-afhængige brancher, som bankerne, er også bemærkelsesværdigt tyste.
Sårbare Danmark
Det er nok for sortsynet at bebude tvangsdigitalseringen som den næste it-katastrofe, men risikoen foreligger og er voksende. Digitaliseringen, som den er gennemført, har åbnet en flanke for angreb, langt alvorligere for samfundet end det, der nu rammer landets borgere – hvor hårdt det end er for personen, der mister alle sine penge fx i et netbankrøveri.
Den risiko for massive angreb på samfundet står der imidlertid ikke et ord om i kommissoriet, for Finans Danmarks nye udvalg. Til gengæld kan man læse, at “digital svindel” med betalinger er mere end fire gange større end de offentliggjorte 96 mio. kr. i netbanksvindel for 2022.
Kommissoriet indledes således: “Digital svindel er et stigende problem i Danmark. Tal fra Nationalbanken og Finans Danmark viser, at det i 2022 lykkedes de kriminelle at slippe afsted med 425 mio. kroner relateret til svindel med betalinger.”
PS: 96 mio. for netbankrøveri ud af totalt 425 mio. i betalingssvindel! Nogen, der ved, hvilken kriminalitet de manglende 319 millioner, skyldes?
Modtag POV Weekend, følg os på Facebook – eller bliv medlem!
Hold dig opdateret med ugens væsentligste analyser, anmeldelser og essays i POV Weekend – hver fredag morgen.
Det er gratis, og du kan tilmelde dig her
POV er et åbent og uafhængigt dansk non-profit medie.
Har du mulighed for at bidrage til vores arbejde? Bliv medlem her